Microsoft Entra 外部 ID 可讓您的組織管理客戶的身分識別,並安全地控制對公開應用程式和 API 的存取。 客戶可以購買產品、訂閱服務,或存取其帳戶和數據的應用程式。 您的客戶只需要登入裝置或網頁瀏覽器一次,並有權存取您授與他們許可權的所有應用程式。
若要讓應用程式使用外部識別碼登入,您必須使用外部識別元註冊您的應用程式。 應用程式註冊會建立應用程式與外部標識碼之間的信任關係。
在應用程式註冊期間,您可以指定重新導向 URI。 重新導向 URI 是使用者在驗證之後,由外部標識元重新導向的端點。 應用程式註冊程式會產生應用程式識別碼,也稱為用戶端標識符,可唯一識別您的應用程式。
外部標識碼支援各種新式應用程式架構的驗證,例如 Web 應用程式或單頁應用程式。 每個應用程式類型與外部租用戶的互動都不同,因此,您必須指定您要註冊的應用程式類型。
註冊您的單頁應用程式
外部標識碼支援單頁應用程式 (SPA) 的驗證。
下列步驟示範如何在 Microsoft Entra 系統管理中心註冊 SPA:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示
,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊]。
選取 + 新增註冊。
在出現的 [註冊應用程式] 頁面 中,輸入應用程式的註冊資訊:
在 [ 名稱 ] 區段中,輸入向應用程式用戶顯示的有意義應用程式名稱,例如 ciam-client-app。
在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
在 [重新導向 URI(選擇性)] 下,選取 [單頁應用程式],然後在 [URL] 方塊中輸入 http://localhost:3000/。
選取註冊。
註冊完成時,會顯示應用程式的 [ 概觀] 窗格 。 記錄要用於應用程式原始碼的目錄(租使用者)標識碼和應用程式(用戶端)標識碼。
關於重新導向 URI
重新導向 URI 是授權伺服器在完成與使用者互動之後,用戶傳送至的端點(在此案例中為 Microsoft Entra ID),並在成功授權時將存取令牌或授權碼傳送至該端點。
在生產應用程式中,它通常是應用程式執行所在的可公開存取端點,例如 https://contoso.com/auth-response。
在應用程式開發期間,您可以新增應用程式在本機接聽的端點,例如 http://localhost:3000. 您可以隨時在已註冊的應用程式中新增和修改重新導向 URI。
下列限制適用於重新導向 URI:
除非您使用localhost重新導向URL,否則回復URL必須以配置 https開頭。
回復 URL 會區分大小寫。 其大小寫必須符合執行中應用程式的 URL 路徑大小寫。 例如,如果您的應用程式在其路徑 .../abc/response-oidc中包含 ,請勿在回覆 URL 中指定 .../ABC/response-oidc 。 由於網頁瀏覽器會將路徑視為區分大小寫,因此如果重新導向至不相符.../ABC/response-oidc的 URL,則可能會排除與相關聯的 .../abc/response-oidc Cookie。
回復 URL 應包含或排除尾端正斜線,因為您的應用程式預期。 例如, https://contoso.com/auth-response 和 https://contoso.com/auth-response/ 可能會被視為應用程式中不相符的URL。
授與委派的許可權
此應用程式會登入使用者。 您可以遵循下列步驟,將委派的許可權新增至其中:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
- 選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
- 選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
授與 API 許可權(選擇性):
如果您的 SPA 需要呼叫 API,您必須授與 SPA API 許可權,才能呼叫 API。 您也必須 註冊需要呼叫的 Web API 。
若要授與用戶端應用程式 (ciam-client-app) API 許可權,請遵循下列步驟:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
在 [設定的許可權] 底下,再次選取 [新增許可權]。
選取 [我的組織使用的 API] 索引標籤。
在 API 清單中,選取 api,例如 ciam-ToDoList-api。
選取 [委派的許可權] 選項。
從許可權清單中,選取 [ToDoList.Read]、[ToDoList.ReadWrite ] (如有必要,請使用搜尋方塊)。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 若要解決此問題,身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
從 [設定的許可權] 清單中,選取 ToDoList.Read 和 ToDoList.ReadWrite 許可權,一次一個許可權,然後複製許可權的完整 URI 以供稍後使用。 完整權限 URI 看起來類似 api://{clientId}/{ToDoList.Read} 或 api://{clientId}/{ToDoList.ReadWrite}。
如果您想要瞭解如何藉由新增連結來公開許可權,請移至 [Web API ] 區段。
註冊 Web 應用程式
外部標識碼支援 Web 應用程式的驗證。
下列步驟說明如何在 Microsoft Entra 系統管理中心註冊 Web 應用程式:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊]。
選取 + 新增註冊。
在出現的 [註冊應用程式] 頁面 中,輸入應用程式的註冊資訊:
在 [ 名稱 ] 區段中,輸入向應用程式用戶顯示的有意義應用程式名稱,例如 ciam-client-app。
在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
在 [重新導向 URI(選擇性)] 下,選取 [Web],然後在 [URL] 方塊中輸入 URL,http://localhost:3000/例如 。
選取註冊。
註冊完成時,會顯示應用程式的 [ 概觀] 窗格 。 記錄要用於應用程式原始碼的目錄(租使用者)標識碼和應用程式(用戶端)標識碼。
關於重新導向 URI
重新導向 URI 是授權伺服器在完成與使用者互動之後,用戶傳送至的端點(在此案例中為 Microsoft Entra ID),並在成功授權時將存取令牌或授權碼傳送至該端點。
在生產應用程式中,它通常是應用程式執行所在的可公開存取端點,例如 https://contoso.com/auth-response。
在應用程式開發期間,您可以新增應用程式在本機接聽的端點,例如 http://localhost:3000. 您可以隨時在已註冊的應用程式中新增和修改重新導向 URI。
下列限制適用於重新導向 URI:
除非您使用localhost重新導向URL,否則回復URL必須以配置 https開頭。
回復 URL 會區分大小寫。 其大小寫必須符合執行中應用程式的 URL 路徑大小寫。 例如,如果您的應用程式在其路徑 .../abc/response-oidc中包含 ,請勿在回覆 URL 中指定 .../ABC/response-oidc 。 由於網頁瀏覽器會將路徑視為區分大小寫,因此如果重新導向至不相符.../ABC/response-oidc的 URL,則可能會排除與相關聯的 .../abc/response-oidc Cookie。
回復 URL 應包含或排除尾端正斜線,因為您的應用程式預期。 例如, https://contoso.com/auth-response 和 https://contoso.com/auth-response/ 可能會被視為應用程式中不相符的URL。
新增委派的許可權
此應用程式會登入使用者。 您可以遵循下列步驟,將委派的許可權新增至其中:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
- 選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
- 選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
建立客戶端密碼
為已註冊的應用程式建立用戶端密碼。 應用程式會在要求令牌時,使用用戶端密碼來證明其身分識別。
- 從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
- 在 [管理] 下,選取 [憑證和密碼]。
- 選取 [新用戶端密碼]。
- 在 [ 描述 ] 方塊中,輸入用戶端密碼的描述(例如 ciam 應用程式用戶端密碼)。
- 在 [到期日] 底下,選取密碼有效的持續時間(根據您的組織安全性規則),然後選取 [新增]。
- 記錄祕密的 [值]。 您將會在稍後的步驟中使用此值進行設定。 在您離開 憑證和秘密之後,秘密值不會再次顯示,而且無法透過任何方式擷取。 請確定您記錄它。
授與 API 權限 (選擇性)
如果您的 Web 應用程式需要呼叫 API,您必須授與 Web 應用程式 API 許可權,才能呼叫 API。 您也必須 註冊需要呼叫的 Web API 。
若要授與用戶端應用程式 (ciam-client-app) API 許可權,請遵循下列步驟:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
在 [設定的許可權] 底下,再次選取 [新增許可權]。
選取 [我的組織使用的 API] 索引標籤。
在 API 清單中,選取 api,例如 ciam-ToDoList-api。
選取 [委派的許可權] 選項。
從許可權清單中,選取 [ToDoList.Read]、[ToDoList.ReadWrite ] (如有必要,請使用搜尋方塊)。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 若要解決此問題,身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
從 [設定的許可權] 清單中,選取 ToDoList.Read 和 ToDoList.ReadWrite 許可權,一次一個許可權,然後複製許可權的完整 URI 以供稍後使用。 完整權限 URI 看起來類似 api://{clientId}/{ToDoList.Read} 或 api://{clientId}/{ToDoList.ReadWrite}。
註冊 Web API
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊。
選取 + 新增註冊。
在出現的 [註冊應用程式] 頁面 中,輸入應用程式的註冊資訊:
在 [名稱] 區段中,輸入將向用戶顯示有意義的應用程式名稱,例如 ciam-ToDoList-api。
在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
選取 [暫存器] 以建立應用程式。
註冊完成時,會顯示應用程式的 [ 概觀] 窗格 。 記錄要用於應用程式原始碼的目錄(租使用者)標識碼和應用程式(用戶端)標識碼。
公開許可權
API 必須發佈至少一個範圍,也稱為 「委派許可權」,用戶端應用程式才能成功取得使用者的存取令牌。 若要發佈範圍,請遵循下列步驟:
從 [應用程式註冊] 頁面中,選取您建立的 API 應用程式 (ciam-ToDoList-api) 以開啟其 [概觀] 頁面。
在 [管理] 底下,選取 [公開 API]。
在頁面頂端的 [應用程式識別碼 URI] 旁,選取 [新增] 鏈接以產生此應用程式唯一的 URI。
接受建議的應用程式識別碼 URI,例如 api://{clientId},然後選取 [ 儲存]。 當您的 Web 應用程式要求 Web API 的存取令牌時,它會新增 URI 作為您為 API 定義之每個範圍的前置詞。
在 [由此 API 定義的範圍] 底下,選取 [新增範圍]。
輸入下列定義 API 讀取權限的值,然後選取 [ 新增範圍 ] 以儲存變更:
| 屬性 |
數值 |
| 範圍名稱 |
ToDoList.Read |
| 有權同意者 |
僅限 管理員 |
| 管理員同意顯示名稱 |
使用 'TodoListApi' 讀取使用者ToDo清單 |
| 管理員同意描述 |
允許應用程式使用 『TodoListApi』 讀取使用者的 ToDo 清單。 |
| 州/省 |
已啟用 |
再次選取 [新增範圍 ],然後輸入下列值來定義 API 的讀取和寫入存取範圍。 選取 [ 新增範圍 ] 以儲存變更:
| 屬性 |
數值 |
| 範圍名稱 |
ToDoList.ReadWrite |
| 有權同意者 |
僅限 管理員 |
| 管理員同意顯示名稱 |
使用 'ToDoListApi' 讀取和寫入使用者 ToDo list |
| 管理員同意描述 |
允許應用程式使用 『ToDoListApi』 讀取和寫入使用者的 ToDo 清單 |
| 州/省 |
已啟用 |
在 [管理] 底下,選取 [指令清單] 以開啟 API 指令清單編輯器。
將 屬性設定 accessTokenAcceptedVersion 為 2。
選取 [儲存]。
深入瞭解 發佈 Web API 許可權 時最低許可權的原則。
新增應用程式角色
API 必須針對應用程式發佈至少一個應用程式角色,也稱為 「應用程式許可權」,用戶端應用程式才能自行取得存取令牌。 應用程式許可權是 API 想要讓用戶端應用程式以自己身分成功驗證,而不需要登入使用者時,應該發佈的許可權類型。 若要發佈應用程式許可權,請遵循下列步驟:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-ToDoList-api),以開啟其 [概觀] 頁面。
在 [管理] 底下,選取 [應用程式角色]。
選取 [ 建立應用程式角色],然後輸入下列值,然後選取 [ 套用 ] 以儲存變更:
| 屬性 |
數值 |
| Display name |
ToDoList.Read.All |
| 允許的成員類型 |
應用程式 |
| 值 |
ToDoList.Read.All |
| 描述 |
允許應用程式使用 『TodoListApi』 讀取每個使用者的 ToDo 清單 |
再次選取 [建立應用程式角色],然後輸入下列第二個應用程式角色 的值,然後選取 [ 套用 ] 以儲存變更:
| 屬性 |
數值 |
| Display name |
ToDoList.ReadWrite.All |
| 允許的成員類型 |
應用程式 |
| 值 |
ToDoList.ReadWrite.All |
| 描述 |
允許應用程式使用 『ToDoListApi』 讀取和寫入每個使用者的 ToDo 清單 |
註冊您的桌面或行動應用程式
下列步驟示範如何在 Microsoft Entra 系統管理中心註冊您的應用程式:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊。
選取 + 新增註冊。
在出現的 [註冊應用程式] 頁面 中,輸入應用程式的註冊資訊:
在 [ 名稱 ] 區段中,輸入向應用程式用戶顯示的有意義應用程式名稱,例如 ciam-client-app。
在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
在 [重新導向 URI(選擇性)] 下,選取 [行動和桌面應用程式] 選項,然後在 [URL] 方塊中輸入具有唯一配置的 URI。 例如,電子桌面應用程式的重新導向 URI 看起來類似 http://localhost ,而 .NET 多平臺應用程式 UI (MAUI) 看起來類似 msal{ClientId}://auth。
選取註冊。
註冊完成時,會顯示應用程式的 [ 概觀] 窗格 。 記錄要用於應用程式原始碼的目錄(租使用者)標識碼和應用程式(用戶端)標識碼。
新增委派的許可權
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
- 選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
- 選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
授與 API 權限 (選擇性)
如果您的行動應用程式需要呼叫 API,您必須授與行動應用程式 API 許可權,才能呼叫 API。 您也必須 註冊需要呼叫的 Web API 。
若要授與用戶端應用程式 (ciam-client-app) API 許可權,請遵循下列步驟:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
在 [設定的許可權] 底下,再次選取 [新增許可權]。
選取 [我的組織使用的 API] 索引標籤。
在 API 清單中,選取 api,例如 ciam-ToDoList-api。
選取 [委派的許可權] 選項。
從許可權清單中,選取 [ToDoList.Read]、[ToDoList.ReadWrite ] (如有必要,請使用搜尋方塊)。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 若要解決此問題,身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
從 [設定的許可權] 清單中,選取 ToDoList.Read 和 ToDoList.ReadWrite 許可權,一次一個許可權,然後複製許可權的完整 URI 以供稍後使用。 完整權限 URI 看起來類似 api://{clientId}/{ToDoList.Read} 或 api://{clientId}/{ToDoList.ReadWrite}。
註冊精靈應用程式
下列步驟示範如何在 Microsoft Entra 系統管理中心註冊精靈應用程式:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊。
選取 + 新增註冊。
在出現的 [註冊應用程式] 頁面 中,輸入應用程式的註冊資訊:
在 [ 名稱 ] 區段中,輸入將向用戶顯示有意義的應用程式名稱,例如 ciam-client-app。
在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
選取註冊。
註冊完成時,會顯示應用程式的 [ 概觀] 窗格 。 記錄要用於應用程式原始碼的目錄(租使用者)標識碼和應用程式(用戶端)標識碼。
授與 API 許可權
精靈應用程式會使用 OAuth 2.0 用戶端認證流程自行登入。 您可以授與應用程式許可權(應用程式角色),這是驗證為本身的應用程式所需的許可權。 您也必須 註冊精靈應用程式需要呼叫的 Web API 。
從 [應用程式註冊] 頁面中,選取您建立的應用程式,例如 ciam-client-app。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [我的組織使用的 API] 索引標籤。
在 API 清單中,選取 api,例如 ciam-ToDoList-api。
選取 [應用程式許可權] 選項。 我們會選取此選項,因為應用程式會以本身身分登入,而不是使用者。
從許可權清單中,選取 [TodoList.Read.All]、[ToDoList.ReadWrite.All ] (如有必要,請使用搜尋方塊)。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於精靈應用程式不允許使用者與其互動,因此使用者本身無法同意這些許可權。 若要解決此問題,身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
- 選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
- 選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個許可權的 [狀態] 底下。
註冊 Microsoft Graph API 應用程式
若要讓應用程式使用 Microsoft Entra 登入使用者,您必須知道您建立的應用程式 Microsoft Entra 外部 ID。 應用程式註冊會建立應用程式與 Microsoft Entra 之間的信任關係。 當您註冊應用程式時,外部標識符會產生稱為應用程式的唯一 標識碼(用戶端)標識碼,這個值可用來在建立驗證要求時識別您的應用程式。
下列步驟示範如何在 Microsoft Entra 系統管理中心註冊您的應用程式:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊]。
選取 + 新增註冊。
在出現的 [ 註冊應用程式 ] 頁面中;
- 輸入向應用程式用戶顯示的有意義應用程式名稱,例如 ciam-client-app。
- 在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
選取註冊。
應用程式 [ 概觀 ] 窗格會在成功註冊時顯示。 記錄應用程式 (用戶端) 識別碼,以用於您的應用程式原始程式碼。
將 API 存取權授與您的應用程式
若要讓應用程式存取 Microsoft Graph API 中的數據,請授與已註冊的應用程式相關應用程式許可權。 應用程式的有效許可權是許可權所隱含的完整許可權層級。 例如,若要建立、讀取、更新及刪除外部租使用者中的每個使用者,請新增User.ReadWrite.All許可權。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [ Microsoft API] 索引 標籤,然後選取 [Microsoft Graph]。
選取應用程式權限。
展開適當的許可權群組,然後選取許可權的複選框,以授與管理應用程式。 例如:
User.ReadWrite.All>:適用於使用者移轉或使用者管理案例。
Group.ReadWrite.All>:用於建立群組、讀取和更新群組成員資格,以及刪除群組。
AuditLog>AuditLog.Read.All:用於讀取目錄的稽核記錄。
原則 Policy.ReadWrite.TrustFramework>:適用於持續整合/持續傳遞 (CI/CD) 案例。 例如,使用 Azure Pipelines 進行自定義原則部署。
選取新增權限。 依照指示,請稍候幾分鐘,再繼續進行下一個步驟。
選取 [授與管理員同意] (您的租用戶名稱)。
如果您目前未登入,請使用外部租使用者中至少獲指派雲端應用程式 管理員 istrator 角色的帳戶登入,然後選取 [授與系統管理員同意] 作為 [租使用者名稱]。
選取 [重新整理],然後確認 [已為 ... 授與]會出現在 [狀態] 底下。 可能需要幾分鐘的時間才能傳播許可權。
註冊應用程式之後,您必須將客戶端密碼新增至應用程式。 此客戶端密碼將用來驗證您的應用程式來呼叫 Microsoft Graph API。
建立用戶端密碼
為已註冊的應用程式建立用戶端密碼。 應用程式會在要求令牌時,使用用戶端密碼來證明其身分識別。
- 從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app)以開啟其 [概觀] 頁面。
- 在 [管理] 下,選取 [憑證和密碼]。
- 選取 [新用戶端密碼]。
- 在 [ 描述 ] 方塊中,輸入用戶端密碼的描述(例如 ciam 應用程式用戶端密碼)。
- 在 [到期日] 底下,選取密碼有效的持續時間(根據您的組織安全性規則),然後選取 [新增]。
- 記錄祕密的 [值]。 您將會在稍後的步驟中使用此值進行設定。 在您離開 憑證和秘密之後,秘密值不會再次顯示,而且無法透過任何方式擷取。 請確定您記錄它。
註冊原生驗證應用程式
若要讓應用程式能夠使用 Microsoft Entra 登入使用者,Microsoft Entra 外部 ID 必須知道您建立的應用程式。 應用程式註冊會建立應用程式與 Microsoft Entra 之間的信任關係。 當您註冊應用程式時,外部標識符會產生稱為應用程式的唯一 標識碼(用戶端)標識碼,這個值可用來在建立驗證要求時識別您的應用程式。
下列步驟示範如何在 Microsoft Entra 系統管理中心註冊您的應用程式:
以至少應用程式開發人員身分登入 Microsoft Entra 系統管理中心。
如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至外部租使用者。
流覽至 [身分>識別應用程式> 應用程式註冊。
選取 + 新增註冊。
在出現的 [ 註冊應用程式 ] 頁面中;
- 輸入向應用程式用戶顯示的有意義應用程式名稱,例如 ciam-client-app。
- 在 [支援的帳戶類型] 底下,選取 [僅在此組織目錄中的帳戶]。
選取註冊。
應用程式 [ 概觀 ] 窗格會在成功註冊時顯示。 記錄應用程式 (用戶端) 識別碼,以用於您的應用程式原始程式碼。
新增委派的許可權
此應用程式會登入使用者。 您可以遵循下列步驟,將委派的許可權新增至其中:
從 [應用程式註冊] 頁面中,選取您建立的應用程式(例如 ciam-client-app),以開啟其 [概觀] 頁面。
在 [管理] 之下選取 [API 權限]。
在 [已設定的權限] 底下,選取 [新增權限]。
選取 [Microsoft API] 索引 標籤。
在 [常用 Microsoft API] 區段底下,選取 [Microsoft Graph]。
選取 [委派的許可權] 選項。
在 [選取許可權] 區段下,搜尋並選取 openid 和 offline_access 許可權。
選取 [ 新增許可權] 按鈕。
此時,您已正確指派許可權。 不過,由於租用戶是客戶的租使用者,因此取用者使用者本身無法同意這些許可權。 身為系統管理員必須代表租使用者中的所有使用者同意這些許可權:
- 選取 [授與租用戶名稱>的<管理員同意],然後選取 [是]。
- 選取 [重新整理],然後確認 [為租用戶名稱>授與] <出現在這兩個範圍的 [狀態] 底下。
啟用公用用戶端和原生驗證流程
若要指定此應用程式是公用用戶端,而且可以使用原生驗證,請啟用公用用戶端和原生驗證流程:
- 從 [應用程式註冊] 頁面中,選取您要啟用公用用戶端和原生驗證流程的應用程式註冊。
- 在 [管理] 底下,選取 [驗證]。
- 在 [進階設定] 下,允許公用用戶端流程:
- 針對 [ 啟用下列行動裝置和桌面流程 ] 選取 [ 是]。
- 針對 [ 啟用原生驗證],選取 [ 是]。
- 選取 [儲存] 按鈕。
